SpringSesurity4.2.3 配置详情

最新推荐文章于 2023-05-28 17:03:19 发布
最新推荐文章于 2023-05-28 17:03:19 发布
阅读量915 收藏 1
点赞数 2
分类专栏: maven spring-security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28039297/article/details/77140997
版权

security.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:context="http://www.springframework.org/schema/context" xmlns:tx="http://www.springframework.org/schema/tx"
    xmlns:aop="http://www.springframework.org/schema/aop" xmlns:security="http://www.springframework.org/schema/security"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
                           http://www.springframework.org/schema/beans/spring-beans-4.3.xsd
                           http://www.springframework.org/schema/tx 
                           http://www.springframework.org/schema/tx/spring-tx-4.3.xsd 
                           http://www.springframework.org/schema/context 
                           http://www.springframework.org/schema/context/spring-context-4.3.xsd 
                           http://www.springframework.org/schema/aop 
                           http://www.springframework.org/schema/aop/spring-aop-4.3.xsd
                           http://www.springframework.org/schema/security
                           http://www.springframework.org/schema/security/spring-security-4.2.xsd">
    <!-- 此资源不需要保护 -->
    <security:http pattern="/index.jsp*" security="none"></security:http>
    <security:http pattern="/css/**" security="none"></security:http>
    <security:http pattern="/jquery/**" security="none"></security:http>

    <security:http auto-config="false" entry-point-ref="loginUrlEntryPoint">
        <security:custom-filter ref="customFilter" before="FORM_LOGIN_FILTER"/>
        <!-- 将自定义登陆过滤器添加到  过滤器链中 -->
        <security:custom-filter ref="formLoginFilter" position="FORM_LOGIN_FILTER"/>
        <!-- 将自定义退出过滤器添加到  过滤器链中 -->
        <security:custom-filter ref="logoutFilter" position="LOGOUT_FILTER"/>
        <!-- 将自定义的rememeberMe 添加到过滤器链中 -->
        <security:custom-filter ref="rememberMeFilter" after="FORM_LOGIN_FILTER"/>
        <!-- 将自定义session并发filter 添加到过滤器链 -->
        <security:custom-filter ref="concurrencyFilter" position="CONCURRENT_SESSION_FILTER"/>
        <!-- 将自定义的filterSecurityInterceptor 添加到过滤器链中 -->
        <security:custom-filter ref="filterSecurityInterceptor" before="FILTER_SECURITY_INTERCEPTOR" />
        <!-- 将自定义的ExceptionTransactionFitler添加到过滤器链 -->
        <security:custom-filter ref="exceptionTranslationFilter" after="EXCEPTION_TRANSLATION_FILTER"/>
    </security:http>

    <!-- 定义异常转换filter -->
    <bean id="exceptionTranslationFilter" class="org.springframework.security.web.access.ExceptionTranslationFilter">
        <constructor-arg name="authenticationEntryPoint" ref="loginUrlEntryPoint"/>
        <property name="accessDeniedHandler" ref="accessDeniedHandler"/>
    </bean>
    <bean id="accessDeniedHandler" class="org.springframework.security.web.access.AccessDeniedHandlerImpl">
        <property name="errorPage" value="/accessDenied.jsp"/>
    </bean>

    <!-- 定义授权管理filter -->
    <bean id="filterSecurityInterceptor" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
        <property name="authenticationManager" ref="authenticationManager"/>
        <property name="accessDecisionManager" ref="customAccessDecisionManager"/>
        <property name="securityMetadataSource" ref="customFilterInvocationSecurityMetadataSource"/>
    </bean>

    <!-- 处理session并发 -->
    <bean id="concurrencyFilter" class="org.springframework.security.web.session.ConcurrentSessionFilter">
        <constructor-arg name="sessionRegistry" ref="sessionRegistry"/>
        <constructor-arg name="sessionInformationExpiredStrategy" ref="sessionInformationExpiredStrategy"/>
    </bean>
    <bean id="sessionInformationExpiredStrategy" class="org.springframework.security.web.session.SimpleRedirectSessionInformationExpiredStrategy">
        <constructor-arg name="invalidSessionUrl" value="/invalidSessionUrl.html"/>
        <constructor-arg name="redirectStrategy" ref="redirectStrategy"/>
    </bean>
    <bean id="redirectStrategy" class="org.springframework.security.web.DefaultRedirectStrategy">
        <property name="contextRelative" value="true"/>
    </bean>

    <bean id="sessionRegistry" class="org.springframework.security.core.session.SessionRegistryImpl" />
    <bean id="sas" class="org.springframework.security.web.authentication.session.SessionFixationProtectionStrategy"/>
    <!-- 处理rememberMe的请求 -->
    <bean id="rememberMeFilter" class="org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter">
    </bean>

    <!-- 用来产生cookie -->
    <bean id="rememberMeServices" class="org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices">
        <constructor-arg name="key" value="bunnyTouchspringRocks"/>
        <constructor-arg name="userDetailsService" ref="customUserDetailsService"/>
        <property name="cookieName" value="SPRING_SECURITY_REMEMBER_ME_COOKIE_KEY"/>
        <property name="tokenValiditySeconds" value="3600"/>
        <property name="parameter" value="rememberMe"/>
        <!-- <property name="cookieDomain" value=""/> -->
    </bean>

    <bean id="rememberMeAuthenticationProvider" class="org.springframework.security.authentication.RememberMeAuthenticationProvider">
        <constructor-arg name="key" value="bunnyTouchspringRocks"/>
    </bean>

    <!-- 定义处理退出请求的fitler -->
    <bean id="logoutFilter" class="org.springframework.security.web.authentication.logout.LogoutFilter">
        <property name="filterProcessesUrl"  value="/user/tuichu.do"></property>
        <constructor-arg index="0" value="/myLogin.jsp"></constructor-arg>
        <constructor-arg index="1">
            <list>
                <!--销毁sesson -->
                <ref bean="sessionInvalidateHandler"></ref>
                <!--清除cookie -->
                <ref bean="rememberMeServices"></ref>
            </list>
        </constructor-arg>
    </bean>
    <!-- 定义销毁session的处理类 -->
    <bean id="sessionInvalidateHandler" class="org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler"></bean>
    <!--定义处理登陆请求的filter -->
    <bean id="formLoginFilter" class="org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter">
        <property name="authenticationManager" ref="authenticationManager"/>
        <property name="usernameParameter" value="uname"/>
        <property name="passwordParameter" value="upassword"/>
        <property name="filterProcessesUrl" value="/user/userLogin.do"/>
        <property name="authenticationSuccessHandler" ref="authenSuccessHandler"/>
        <property name="authenticationFailureHandler" ref="authenFailerHandler"/>
        <property name="rememberMeServices" ref="rememberMeServices"/>
        <property name="sessionAuthenticationStrategy" ref="sas"/>
    </bean>

    <!-- 定义认证成功后的处理类 -->
    <bean id="authenSuccessHandler" class="org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler">
        <property name="alwaysUseDefaultTargetUrl" value="false"></property>
        <property name="defaultTargetUrl" value="/main.jsp"></property>
    </bean>
    <!-- 定义认证失败的处理类 -->
    <bean id="authenFailerHandler" class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler">
        <property name="defaultFailureUrl" value="/loginError.jsp"> </property>
    </bean>
    <!-- 定义认证入口页面 -->
    <bean id="loginUrlEntryPoint" class="org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint">
        <constructor-arg name="loginFormUrl" value="/myLogin.jsp"></constructor-arg>
    </bean>
    <!-- 认证管理器
    erase-credentials:默认认证成功后,会清除所有的认证凭据信息
    如果有rememberMe,erase-credentials必须为false
    -->
    <security:authentication-manager alias="authenticationManager" erase-credentials="false">
        <security:authentication-provider user-service-ref="customUserDetailsService">
            <!-- 自定义加密算法  -->
            <security:password-encoder ref="customPasswordEncoder"/>
        </security:authentication-provider>
        <security:authentication-provider ref="rememberMeAuthenticationProvider"/>
    </security:authentication-manager>
</beans>

web.xml

<listener>
        <listener-class>org.springframework.security.web.session.HttpSessionEventPublisher</listener-class>
    </listener>
    <!-- SpringSecurity必须的filter -->
   <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

CustomAccessDecisionManager.java
这里没有做任何业务处理,具体业务处理自己写

package net.bunnytouch.bs.security;

import java.util.Collection;

import org.springframework.security.access.AccessDecisionManager;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.authentication.InsufficientAuthenticationException;
import org.springframework.security.core.Authentication;
import org.springframework.stereotype.Component;
@Component
public class CustomAccessDecisionManager implements AccessDecisionManager {
    /**
     * authentication: 访问受限资源的用户
     * object:当前正在访问的受限资源
     * configAttributes: 访问当前受限资源所需要的角色信息
     */
    public void decide(Authentication authentication, Object object,
            Collection<ConfigAttribute> configAttributes)
            throws AccessDeniedException, InsufficientAuthenticationException {

    }

    public boolean supports(ConfigAttribute attribute) {
        return true;
    }

    public boolean supports(Class<?> clazz) {
        return true;
    }

}

customFilterInvocationSecurityMetadataSource.java

package net.bunnytouch.bs.security;

import java.util.Collection;

import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
import org.springframework.stereotype.Component;
@Component
public class customFilterInvocationSecurityMetadataSource implements
        FilterInvocationSecurityMetadataSource {

    //obj: 当前正在访问的受限资源 /user/queryAll.do
    public Collection<ConfigAttribute> getAttributes(Object object)
            throws IllegalArgumentException {
        return null;
    }
    //当服务器启动的时候,从此方法将所有权限相关的配置属性加载到内存中
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    public boolean supports(Class<?> clazz) {
        return true;
    }

}

CustomPasswordEncoder.java
这个方法是自定义密码的加密方式。
官方推荐直接用BCryptPasswordEncoder
所以这里可以不需要做任何业务处理,也可以放弃这个类直接创建BCryptPasswordEncoder的bean对象(在security.xml配置里面对应的引用改过来就可以了)

package net.bunnytouch.bs.security;

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Component;

@Component
public class CustomPasswordEncoder extends BCryptPasswordEncoder implements PasswordEncoder {
}

CustomUserDetailsService.java

package net.bunnytouch.bs.security;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
@Service
public class CustomUserDetailsService implements UserDetailsService {
    /**
    *
    public UserDetails loadUserByUsername(String username)
            throws UsernameNotFoundException {
        return null;
    }

}

CustomFilter.java
自定义的过滤器。

package net.bunnytouch.bs.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

import org.springframework.stereotype.Component;

/**
 * Servlet Filter implementation class CustomFilter
 */
@Component
public class CustomFilter implements Filter {

    /**
     * Default constructor. 
     */
    public CustomFilter() {
    }

    /**
     * @see Filter#destroy()
     */
    public void destroy() {
    }

    /**
     * @see Filter#doFilter(ServletRequest, ServletResponse, FilterChain)
     */
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        chain.doFilter(request, response);
    }

    /**
     * @see Filter#init(FilterConfig)
     */
    public void init(FilterConfig fConfig) throws ServletException {
    }

}
qq305933616
关注
专栏目录
spring security4.2.3 登录权限资源控制框架
wangernb的博客
10-09 609
1. 原理:使用众多的拦截器对url拦截,以此来管理权限。但是这么多拦截器,笔者不可能对其一一来讲,主要讲里面核心流程的两个。 首先,权限管理离不开登陆验证的,所以登陆验证拦截器AuthenticationProcessingFilter要讲; 还有就是对访问的资源管理吧,所以资源管理拦截器AbstractSecurityInterceptor要讲; 但拦截器里面的实现需要一些组件来实现,所以就有...
Spring Secrutity
12-01
Spring Secrutity配置 及 受保护的资源和权限的信息, 如何不配置配置文件中, 而从数据表中进行获取
spring-security-4.2.3.RELEASE
12-03
本资源来自于官网spring-security-4.2.3.RELEASE,请放心下载
spring4.2.3+mybatis+spring-security配置文件
weixin_30784945的博客
12-22 59
1.web.xml <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocatio...
Spring Boot极简教程》第16章 Spring Boot安全集成Spring Security
程序员光剑
04-17 8765
第16章 Spring Boot安全集成Spring Security 开发Web应用,对页面的安全控制通常是必须的。比如:对于没有访问权限的用户需要转到登录表单页面。要实现访问控制的方法多种多样,可以通过Aop、拦截器实现,也可以通过框架实现,例如:Apache Shiro、Spring Security。 很多成熟的大公司都会有专门针对用户管理方面有一...
BioMercatorV4.2.3
10-12
生信软件 BioMercator4V4.2.3最新版,进行QTL定位及其遗传图谱的构建。Biomercator用于对多个QTL 分析结果进行综合的Meta 分析,帮助育种家对数量性状的多个QTL研究结果进行综合分析,便于找到的对应基因
extjs4.2.3
09-24
EXTJS 4.2.3 是一个非常重要的版本更新,特别是在EXTJS 4.2系列中,它被誉为修复了超过200个错误和问题,从而显著提升了框架的稳定性和性能。EXTJS是一个广泛使用的JavaScript库,专为构建富客户端Web应用程序而设计...
openfire4.2.3源码
03-30
源码的4.2.3版本是其最新的稳定版本,你可以通过访问官方网站<http://www.igniterealtime.org/> 获取。下面将详细讨论Openfire源码中的关键知识点。 1. **XMPP协议**:Openfire是基于XMPP(Extensible Messaging ...
tedddbyActivatorV4.2.3.rar
04-17
tedddbyActivatorV4.2.3.rar
springside4.2.3-GA.jar 包
04-11
《深入解析springside4.2.3-GA.jar:Java开发者的宝藏库》 在Java开发领域,SpringSide框架以其高效、灵活和强大的特性深受开发者喜爱。本文将围绕springside4.2.3-GA.jar这个核心组件,探讨其在Java应用中的重要...
SpringSecurity详解
csdn_xsong的博客
01-17 299
SpringSecurity详解 登录实现: import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.core.authority.AuthorityUtils; import org.springframework.security.core.userdetails.User; import org.springframework.security.core.u
Spring Seurity入门篇
weixin_48040732的博客
01-04 215
Spring Seurity入门篇Spring Seurity简介使用IDEA创建一个DemoUserDetailsService作用PasswordEncoder作用自定义登录逻辑自定义登录页面自定义登录成功处理器和自定义登录失败处理器自定义登录成功处理器自定义登录失败处理器基于权限判断基于角色判断基于IP判断自定义403错误处理使用注解的形式来控制权限@Secured注解和@PreAuthorize注解thymeleaf中springsecurity的用法退出登录 Spring Seurity简介 Sp
搭建一个SpringSecurity项目
weixin_69218754的博客
05-08 658
搭建一个SpringSecurity项目
学习springseacurity
lovely960823的博客
12-25 381
springsecurity,一个很秀的框架,今天开始一步一步的去接触它,第一步添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 添加上依赖,我去访问项目,直接就这样了 开始慢慢的去搞定它 ...
SpringSecurity3.0.5的配置文件及相关类
oEveryman的专栏
01-11 1002
001 xml version="1.0" encoding="UTF-8"?> 002 beans xmlns="http://www.springframework.org/schema/beans" 003         xmlns:s="http://www.springframework.org/schem
SpringSecurity安全框架通俗详解与使用示例
最新发布
某位奇思妙想的IT人员
05-28 3567
有关Spring Security的原理介绍和使用详解,结合相关实例进行解释,通俗易懂。
spring-security详解
limpiditysky的博客
06-01 4923
spring-security详解
Spring Security 框架详解
兴趣是最好的老师,勤能补拙
05-11 1487
Spring Security是一个基于Spring框架的认证和授权框架,它提供了各种工具和框架来保护基于Spring的应用程序。用户认证和授权保护Web应用免受各种攻击,如跨站点脚本攻击(XSS)、跨站点请求伪造攻击(CSRF)和点击劫持攻击使用基于角色和权限的访问控制来保护应用程序资源带有单点登录(SSO)功能,可以将多个应用程序集成到一个中央身份验证系统与其他Spring框架,如Spring MVC和Spring Boot,提供可定制的集成。
Spring Security 基本介绍及基础项目搭建
热门推荐
一个菜鸡的博客
05-16 2万+
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
Linux系统详述:Bugzilla 4.2.3 安装配置教程
- Bugzilla版本:bugzilla-4.2.3 - Perl版本:v5.8.8 (针对x86_64-linux-thread-multi架构) 为了进行正确的集成,建议使用上述特定版本以避免兼容性问题。在开始之前,需要做一些准备工作: 1. 参考官方安装文档:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值